Что не так с правилами iptables?

Question

[Александр]

Зрасте, я сделаль)
Есть микротик и есть ubuntu server c белым IP. Ранее был развернут на ubuntu сервер open-vpn, а на микротике был настроено клиентское подключение. Далее на ubuntu с помощью бубна и гугла смог настроить проброс порта 8291 так, что я смог подключаться на микротик через IP сервера ubuntu. Далее я так же пробросил RDP.
Всё это работало, пока мне в голову не пришла мысль заморочиться и развернуть l2tp подключение, дабы ещё в эту цепочку добавить компы, без микротика.
В общем имеем: https://github.com/hwdsl2/setup-ipsec-vpn развёрнут на ubuntu
Микротик: имеет успешное подключение к серверу по l2tp
Затертые скриптом установки (нужно было сделать бэкап, но мысль - что может пойти не так- не дала этого сделать) и уже перелопаченные правила itables:

iptables

GNU nano 4.8 /etc/iptables/rules.v4 # Generated by iptables-save v1.8.4 on Thu Jul 7 15:22:29 2022
*raw
:PREROUTING ACCEPT [309472:64464136]
:OUTPUT ACCEPT [415605:128487299]
-A PREROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 8291 -j TRACE
-A PREROUTING -d 192.168.42.0/24 -p tcp -m tcp --dport 8291 -j TRACE
-A PREROUTING -d 192.168.42.0/24 -p tcp -m tcp --dport 8291 -j TRACE
-A PREROUTING -p tcp -j TRACE
-A OUTPUT -p tcp -j TRACE
COMMIT
# Completed on Thu Jul 7 15:22:29 2022
# Generated by iptables-save v1.8.4 on Thu Jul 7 15:22:29 2022
*mangle
:PREROUTING ACCEPT [164873:57379268]
:INPUT ACCEPT [164868:57378968]
:FORWARD ACCEPT [5:300]
:OUTPUT ACCEPT [164952:18068332]
:POSTROUTING ACCEPT [164957:18068632]
COMMIT
# Completed on Thu Jul 7 15:22:29 2022
# Generated by iptables-save v1.8.4 on Thu Jul 7 15:22:29 2022
*filter
:INPUT ACCEPT [48:3192]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [42:6454]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8291 -j LOG --log-prefix "MIKROTIK: "
-A OUTPUT -o ppp0 -j ACCEPT
-A f2b-sshd -s 190.128.171.250/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 120.43.94.78/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 164.92.210.129/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 14.97.91.190/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 58.64.162.52/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 43.154.231.198/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 120.48.19.206/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN
COMMIT
# Completed on Thu Jul 7 15:22:29 2022
# Generated by iptables-save v1.8.4 on Thu Jul 7 15:22:29 2022
*nat
:PREROUTING ACCEPT [222:11696]
:INPUT ACCEPT [168:8456]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 10.0.1.4/32 -p tcp -m tcp --dport 8291 -j DNAT --to-destination 192.168.42.11:8291
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j SNAT --to-source 10.0.1.4
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j MASQUERADE
COMMIT
# Completed on Thu Jul 7 15:22:29 2022

И попытки подключения на это вот всё с IP 213.87.89.41 по порту 8291:

кусок из лога

Строка 523: Jul 7 15:27:18 VPN-serv kernel: [663220.177126] TRACE: raw:PREROUTING:policy:5 IN=eth0 OUT= MAC=fe:fe:3e:ca:30:23:fa:16:3e:0a:53:6f:08:00 SRC=213.87.89.41 DST=10.0.1.4 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=44623 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A011039B00000000001030309)
Строка 524: Jul 7 15:27:18 VPN-serv kernel: [663220.177178] TRACE: mangle:PREROUTING:policy:1 IN=eth0 OUT= MAC=fe:fe:3e:ca:30:23:fa:16:3e:0a:53:6f:08:00 SRC=213.87.89.41 DST=10.0.1.4 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=44623 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A011039B00000000001030309)
Строка 525: Jul 7 15:27:18 VPN-serv kernel: [663220.177194] TRACE: nat:PREROUTING:rule:1 IN=eth0 OUT= MAC=fe:fe:3e:ca:30:23:fa:16:3e:0a:53:6f:08:00 SRC=213.87.89.41 DST=10.0.1.4 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=44623 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A011039B00000000001030309)
Строка 526: Jul 7 15:27:18 VPN-serv kernel: [663220.177228] TRACE: mangle:FORWARD:policy:1 IN=eth0 OUT=ppp0 MAC=fe:fe:3e:ca:30:23:fa:16:3e:0a:53:6f:08:00 SRC=213.87.89.41 DST=192.168.42.11 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=44623 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A011039B00000000001030309)
Строка 527: Jul 7 15:27:18 VPN-serv kernel: [663220.177241] TRACE: filter:FORWARD:policy:1 IN=eth0 OUT=ppp0 MAC=fe:fe:3e:ca:30:23:fa:16:3e:0a:53:6f:08:00 SRC=213.87.89.41 DST=192.168.42.11 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=44623 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A011039B00000000001030309)
Строка 528: Jul 7 15:27:18 VPN-serv kernel: [663220.177248] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=ppp0 SRC=213.87.89.41 DST=192.168.42.11 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=44623 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A011039B00000000001030309)
Строка 529: Jul 7 15:27:18 VPN-serv kernel: [663220.177255] TRACE: nat:POSTROUTING:rule:1 IN= OUT=ppp0 SRC=213.87.89.41 DST=192.168.42.11 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=44623 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A011039B00000000001030309)
Строка 530: Jul 7 15:27:19 VPN-serv kernel: [663221.196897] TRACE: raw:PREROUTING:policy:5 IN=eth0 OUT= MAC=fe:fe:3e:ca:30:23:fa:16:3e:0a:53:6f:08:00 SRC=213.87.89.41 DST=10.0.1.4 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=44624 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A01103A140000000001030309)
Строка 531: Jul 7 15:27:19 VPN-serv kernel: [663221.196931] TRACE: mangle:PREROUTING:policy:1 IN=eth0 OUT= MAC=fe:fe:3e:ca:30:23:fa:16:3e:0a:53:6f:08:00 SRC=213.87.89.41 DST=10.0.1.4 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=44624 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A01103A140000000001030309)
Строка 532: Jul 7 15:27:19 VPN-serv kernel: [663221.196955] TRACE: mangle:FORWARD:policy:1 IN=eth0 OUT=ppp0 MAC=fe:fe:3e:ca:30:23:fa:16:3e:0a:53:6f:08:00 SRC=213.87.89.41 DST=192.168.42.11 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=44624 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A01103A140000000001030309)
Строка 533: Jul 7 15:27:19 VPN-serv kernel: [663221.196963] TRACE: filter:FORWARD:policy:1 IN=eth0 OUT=ppp0 MAC=fe:fe:3e:ca:30:23:fa:16:3e:0a:53:6f:08:00 SRC=213.87.89.41 DST=192.168.42.11 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=44624 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A01103A140000000001030309)
Строка 534: Jul 7 15:27:19 VPN-serv kernel: [663221.196969] TRACE: mangle:POSTROUTING:policy:1 IN= OUT=ppp0 SRC=213.87.89.41 DST=192.168.42.11 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=44624 DF PROTO=TCP SPT=17348 DPT=8291 SEQ=512202751 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204055A0402080A01103A140000000001030309)

Интерфейсы

eth0: flags=4163 mtu 9000
inet 10.0.1.4 netmask 255.255.255.0 broadcast 10.0.1.255
inet6 fe80::fcfe:3eff:feca:3023 prefixlen 64 scopeid 0x20
ether fe:fe:3e:ca:30:23 txqueuelen 1000 (Ethernet)
RX packets 695775 bytes 131056715 (131.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 711362 bytes 187793470 (187.7 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1000 (Local Loopback)
RX packets 2974 bytes 246794 (246.7 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2974 bytes 246794 (246.7 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

ppp0: flags=4305 mtu 1280
inet 192.168.42.1 netmask 255.255.255.255 destination 192.168.42.11
ppp txqueuelen 3 (Point-to-Point Protocol)
RX packets 2280 bytes 322862 (322.8 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 22 bytes 1222 (1.2 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

tun0: flags=4305 mtu 1500
inet 192.168.188.1 netmask 255.255.255.0 destination 192.168.188.1
inet6 fe80::1be3:c720:e5ec:543 prefixlen 64 scopeid 0x20
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 100 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 191 bytes 9168 (9.1 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

, где ppp0 - l2tp, eth0 - внешний tun0 - остаток open-vpn, хотя я его удалил вроде, хз почему остался
192.168.42.11 - ip микротика под l2tp
Всю голову сломал, так как опыта со всем этим делом на уровне home edition да и делаю тупо для себя как хобби. Удобно, с телефона подключаюсь на микротик, на нём запускаю скрипт для включения пк, далее подключаюсь по рдп. Часто пользовался, а теперь сам сломал, то что сделал, а восстановить не выходит.

Answer 1

[hint000]

-A INPUT -p tcp -m tcp --dport 8291 -j LOG --log-prefix "MIKROTIK: "

Не сработает, потому что этот трафик попадёт в FORWARD, а не в INPUT.
Если замените в этом правиле INPUT на FORWARD, то оно будет работать.

-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j SNAT --to-source 10.0.1.4
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j MASQUERADE

Второе из этих двух правил не может сработать, потому что срабатывает первое. Уберите первое, оставьте только MASQUERADE, и есть шанс, что заработает, как надо. Возможно, Микротик не знает маршрута до 10.0.1.4 (если вы не прописали такой маршрут).

Comments

[Александр]

Обновил правила. Вместо 10.0.1.4 прописал внешний IP. В таблице ниже 10.0.1.4 оставлен, не хочу светить свой белый IP лишний раз, так что следует воспринимать 10.0.1.4 как внешний IP, так же как и в логах микротика

iptables

# Generated by iptables-save v1.8.4 on Thu Jul 7 21:37:48 2022
*nat
:PREROUTING ACCEPT [71:3630]
:INPUT ACCEPT [57:2790]
:OUTPUT ACCEPT [19:1399]
:POSTROUTING ACCEPT [19:1399]
-A PREROUTING -d 10.0.1.4/32 -p tcp -m tcp --dport 8291 -j DNAT --to-destination 192.168.42.11:8291
-A PREROUTING -d 10.0.1.4/32 -p tcp -m tcp --dport 13890 -j DNAT --to-destination 192.168.42.11:13890
-A PREROUTING -p tcp -m tcp --dport 8291 -j DNAT --to-destination 192.168.42.11
-A PREROUTING -p tcp -m tcp --dport 13890 -j DNAT --to-destination 192.168.42.11
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j SNAT --to-source 10.0.1.4
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 13890 -j SNAT --to-source 10.0.1.4
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j MASQUERADE
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j MASQUERADE
COMMIT
# Completed on Thu Jul 7 21:37:48 2022
# Generated by iptables-save v1.8.4 on Thu Jul 7 21:37:48 2022
*filter
:INPUT ACCEPT [14:905]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18:957]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -i ppp0 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 8291 -j LOG --log-prefix "MIKROTIK: "
-A FORWARD -p tcp -m tcp --dport 13890 -j LOG --log-prefix "RDP: "
-A FORWARD -i eth0 -o ppp+ -p tcp -m tcp --dport 8291 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A f2b-sshd -s 72.167.55.58/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 201.217.194.126/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 206.189.137.162/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 43.152.202.18/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 43.128.9.166/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 72.167.55.58/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN
-A f2b-sshd -j RETURN
COMMIT
# Completed on Thu Jul 7 21:37:48 2022
# Generated by iptables-save v1.8.4 on Thu Jul 7 21:37:48 2022
*mangle
:PREROUTING ACCEPT [691:69733]
:INPUT ACCEPT [665:66521]
:FORWARD ACCEPT [9:540]
:OUTPUT ACCEPT [732:75799]
:POSTROUTING ACCEPT [741:76339]
COMMIT
# Completed on Thu Jul 7 21:37:48 2022
# Generated by iptables-save v1.8.4 on Thu Jul 7 21:37:48 2022
*raw
:PREROUTING ACCEPT [691:69733]
:OUTPUT ACCEPT [732:75799]
-A PREROUTING -d 192.168.42.0/24 -p tcp -m tcp --dport 8291 -j TRACE

Поменял INPUT на FORWARD. Так же добавил маршрут для РДП, так как появилась мысль, что может быть в микре 8291 где-то блочится, но увы:

Микротик

routs dstnat: in:VPN_Linux out:(unknown 0), proto TCP (SYN), 10.0.1.4:26825->192.168.42.11:13890, len 60
Linux input: in:VPN_Linux out:(unknown 0), proto TCP (SYN), 10.0.1.4:17092->192.168.42.11:8291, len 60

, где routs это проброс на порт RDP, а Linux - это мною включённое правило принятие входящих на порт 8291 с интерфейса l2tp
В обоих случаях подключение не происходит, но это уже прогресс. Микротик видит, что я стучусь через внешний IP к нему, а значит маршут в ubuntu работает, но не совсем. Обратно микротик не может пробиться чтоли, хз, не понимаю. Правила в микротике не трогал так то, до того как я влез в ubuntu с этим скриптом всё работало. При этом микротик же нормально общается по портам l2tp-подключения 4500 и 500, хотя это немного другое, но всё же.

[hint000]

Александр,

-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j SNAT --to-source 10.0.1.4
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 13890 -j SNAT --to-source 10.0.1.4
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j MASQUERADE
-A POSTROUTING -d 192.168.42.11/32 -p tcp -m tcp --dport 8291 -j MASQUERADE

Я предлагал вам убрать правило, содержащее -j SNAT --to-source 10.0.1.4, а вы его оставили. Проблема в нём. Ну или хотя бы вместо внешнего адреса напишите там 192.168.42.1.

[Александр]

hint000, во истину, оно работает! Что-то я вчера провтыкал за SNAT, я подумал сонным разумом, что речь про про пару INPUT и FORWARD. Я уже даже не помню для чего я вообще SNAT добавлял, видимо где-то почитал не того, что нужно.